DarkMoney.la
BSC.GLOBA
SAUL
Fedotov Triada
100btc
Cashbank
E63sAMG
Мастер
Энди Дюфрейн
Spartaq capone
Mr. Parker
Bank of Lion
Тони Болтун
Quentin_Tarantino
GLOV
<Daniel>
CarloGambino$$$
Asprom
Vin Diesel

Вернуться   DarkMoney.la > Новостной раздел > Новости из СМИ


Новости из СМИ
Здесь публикуются материалы из СМИ, связанные с тематикой форума DarkMoney

100btc
Mr. Parker
Daniel
J. Cash
Benjamin Franklin
《Brilliant》
Vin Diesel
САМУРАЙ
axxxe
Quentin_Tarantino
Dub4ik
sklad Uservice
ProCash
Ответ
 
LinkBack Опции темы Опции просмотра
Старый 28.01.2019, 12:35   #1
Сервис по Э.П.С.
 
Аватар для KHAN Service
 
Регистрация: 20.12.2015
Адрес: [email protected]
Сообщений: 847
Депозит: 10000 RUR
Сделок через ГАРАНТА: 6
Сообщение В Ghostscript обнаружена опасная уязвимость

Уязвимость заключается в том, что код Ghostscript раскрывает слишком много информации о себе через уведомления об ошибках.


Изучив новый выпуск популярного PDF-интерпретатора Ghostscript, исследователь безопасности Тэвис Орманди (Tavis Ormandy) из Google Project Zero обнаружил частично исправленную уязвимость во всех версиях программы вплоть до 9.26.

Орманди выявил проблему 11 декабря прошлого года в ходе анализа патча, присланного ему разработчиками Ghostscript из компании Artifex. Патч оказался недостаточно эффективным, поэтому исследователь публично сообщил о проблеме только после выхода новой, исправленной версии программы.

Ghostscript представляет собой интерпретатор Postscript и Adobe PDF с открытым исходным кодом, позволяющий пользователям Unix-подобных ОС просматривать PDF-файлы. Уязвимость также затрагивает web-серверы Ghostscript, поскольку такие наборы инструментов, как ImageMagick, используют его для преобразования просматриваемых пользователями PDF-файлов и изображений.

Уязвимость заключается в том, что код Ghostscript раскрывает слишком много информации о себе через уведомления об ошибках, которые могли контролироваться злоумышленником. Проблема связана с подпрограммами, скрытыми в псевдодифференциальных операторах. Для защиты подпрограмм от глаз пользователей они должны помечаться как executeonly. Однако, по словам Орманди, содержимое подпрограмм также должно быть защищено от отображения в обработчиках ошибок. Для этого используется команда odef, превращающая подпрограммы в псевдодифференциальных операторов.

Однако псевдодифференциальные операторы не являются достаточной защитой, отметил исследователь. «Подпрограммы в псевдодифференциальных операторах сами должны быть псевдодифференциальными операторами», - пишет Орманди. Если программист забыл об этом или просто не знал, то операторы все равно могут оказаться в стеке операндов. При наличии в коде ошибки переполнения стека стек операндов будет открыт перед обработчиком ошибок, и его потенциально можно просмотреть и использовать.
__________________
«KHAN Service» [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ]
KHAN Service вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Asprom
MrGekko
MoneyMonkey
Vin Diesel
D. Corleone
PRIDECHANGE
Avanbro
KnyazService
MAVRODIMONEY
Mr Smitt
Conor McGregor
exfin
4RestService
MoneyMusk
EuroKassa
Саня Белый
AlejandroSosa
Beyonce
CAPONE CASH
SantaCash
NuckyThompson
trust_exchange
Old Jew
DM Cash
FlashDM
Bankoffseller
БРОНСОН
CRYTPONAT
CLAN CASSTELO
BMW X5M
Boris Bogatov
Esenin Service
Esenin Service
CaptainMorgan
mavel1
MrLoot


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2021, vBulletin Solutions, Inc. Перевод:
zCarot
darkmoney.biż.com